Hlavní navigace

Miliony smartphonů v ohrožení? Chyba v Androidu je vážná, ale senzace se nekoná

Daniel Dočekal

Bluebox Security zveřejnili ve středu informaci o možném objevení univerzálního klíče, který umožňuje obejít šifrování balíčků aplikací na Androidu.

Bluebox Security v UNCOVERING ANDROID MASTER KEY THAT MAKES 99% OF DEVICES VULNERABLE upozorňují, že se jim velmi pravděpodobně podařilo objevit „master key“ (univerzální klíč) používaný v bezpečnostním modelu zajišťujícím identifikaci aplikačních balíčků. Zjištěná chyba umožňuje vzít „existující“ aplikační balíček (APK) a bez porušení kryptografického podpisu do něj podvrhnout vlastní škodlivý kód.

Než začnete brát vážně titulky jako Milióny smartphonů a tabletů v ohrožení, hackeři je mohou ovládat na dálku, uvědomte si, že některá média uvítají cokoliv, co lze proměnit v senzaci. Senzace se nekoná, telefony s Androidem samy o sobě na dálku ovládat nejde. Novináři v podobných textech zamlčují to nejpodstatnější – aby hackeři mohli chybu využít, je nutné, aby jim do nich jejich vlastníci umožnili přístup a nainstalovali si jejich software.

Podle objevitelů je bezpečnostní problém přítomen v Androidu od verze 1.6 (Donut) a týká se tedy telefonů a tabletů vypuštěných na trh za poslední čtyři roky, tedy až 900 milionů zařízení. Ve spojení s aplikacemi přímo do výrobců telefonů je pak možné, aby útočník získal kompletní přístup ke všemu, co je v telefonu dostupné.

Malware si musíte sami nainstalovat

Je nicméně stále nutné, aby se takto upravená aplikace dostala do mobilního telefonu. Což v praxi stále znamená, že je nutné, aby uživatel aplikaci nainstaloval, ať už stažením z Google Play (kam by mohla být podvržena, ale viz dále) nebo z jiného zdroje. 

Riziko instalace malwaru či spywaru je tak stále stejné, jako kdyby žádná bezpečnostní chyba neexistovala. Podstatné ale je, že prostřednictvím specifických „systémových“ aplikací by se útočník mohl dostat podstatně dál, než tomu bylo doposud možné, a to je jediný podstatný a neopomenutelný rozdíl.

Chyba se týká mechanismu, pomocí kterého Android určuje, zda je aplikace legitimní a zda nebyla nějak pozměněná – k tomu slouží kryptografický podpis. Prostřednictvím objevené chyby je ale možné do již podepsaného aplikačního balíčku vložit vlastní kód. K porušení podpisu přitom nedojde. Pokud by útočník využil některé ze „systémových“ aplikací, získal by tak prakticky „root“ přístup.

Získat podobně pozměněnou aplikaci z Google Play by nicméně nemělo být možné. Google uvádí, že proces přijetí aplikace do Google Play brání tomu, aby bylo možné takovouto aplikací podvrhnout. Zbývá tedy pouze ruční instalace z jiných zdrojů. A zde je vhodné připomenout, že telefony a tablety s Androidem mají od počátku tento druh instalace vypnutý. V nastavení je to ale samozřejmě možné povolit. A pak je samozřejmě možné „chytit“ leccos.

Bluebox Security uvádí, že Google byl o chybě vyrozuměn v únoru 2013 a obrana proti ní spočívá hlavně v tom, že jednotliví výrobci zařízení s Androidem musí vydat aktualizace, které chybu odstraní. Zda a jak k tomu dojde, známo není, nicméně někteří z výrobců prý již opravu vydanou mají (jmenován je konkrétně Samsung a Galaxy S4). Google se navíc k objevené chybě prozatím nijak konkrétně nevyjádřil.

Rekapitulace

Bezpečnostní nedostatek nejspíš existuje a bude nutné, aby byl systémově vyřešen. Je trochu škoda, že od února tohoto roku Google nic viditelného nepodnikl. 

Aby útočník mohl tuto chybu využít, je nutné aby si uživatel o vlastní vůli nahrál do telefonu škodlivou aplikaci. Z Google Play si ji nahrát nemůže, takže instalaci aplikací nejprve musí povolit a poté ji pořídit z jiného zdroje.

Riziko nakažení telefonu při instalaci z dalších zdrojů existuje stále a vždy existovat bude. Riziko ovšem zvyšujete i tím, že si „rootnete“ telefon, a přesto to lidé dělají (a dělat budou). Běžní uživatelé nikoliv, takže žádné „stovky milionů napadnutelných zařízení“ se nekonají.

Našli jste v článku chybu?

7. 7. 2013 18:39

Incognito (neregistrovaný)

To vypada jako umyslne ponechana zadni vratka pro tripismenkove agentury.

9. 7. 2013 6:12

Luboš (neregistrovaný)

Ovšem rozdíl mezi iOS a Androidem je v tom, že Apple se alespoň snaží ty díry záplatovat. Ze strany Google ta snaha nějak není vidět. Na jednu stranu blbnou s tím, že nahlášené problémy budou po týdnu (nebo dvou?) zveřejňovat, na druhou nechají půl roku bez reakce chybu v jejich vlastním produktu a ani se nesnaží tvářit, že by ji chtěli opravit. A přiznejme si, že oprava chyb stylem "kup si nový telefon" mi přijde dost drahá.

DigiZone.cz: Placené VoD a obsah zdarma

Placené VoD a obsah zdarma

Vitalia.cz: Test na HIV je zdarma i za pět set

Test na HIV je zdarma i za pět set

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Podnikatel.cz: Změny v cestovních náhradách 2017

Změny v cestovních náhradách 2017

Podnikatel.cz: Daňové úlevy s EET nestačí. Budou zdražovat

Daňové úlevy s EET nestačí. Budou zdražovat

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák